Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 3 章 Red Hat build of OpenJDK 21 中的 FIPS 自动化

本章论述了如何在红帽构建的 OpenJDK 21 中实施 FIPS 自动化,以及 FIPS 自动化如何影响您的应用程序。

3.1. 安全供应商
复制链接

启用 FIPS 模式后,红帽构建的 OpenJDK 21 将安装的安全供应商替换为受限列表。有些安全服务和算法可能会被丢弃,以便只有 FIPS 认证模块执行加密操作。以下列表描述了已安装的安全供应商、服务、算法和启用的配置:

SunPKCS11-NSS-FIPS

根据 $JRE_HOME/conf/security/nss.fips.cfg 处找到的配置,使用 NSS 软件令牌初始化的 NSS 软件令牌(这是服务提供商的 PKCS BACKEND 后端):

  • name = NSS-FIPS
  • nssLibraryDirectory = /usr/lib64
  • nssSecmodDirectory = ${fips.nssdb.path}
  • nssDbMode = readWrite
  • nssModule = fips
  • attributes (*,CKO_SECRET_KEY,CKK_GENERIC_SECRET)={ CKA_SIGN=true }
注意

不鼓励更改此配置。

所有加密服务都已启用。这包括 AlgorithmParameters,Cipher,KeyAgreement,KeyFactory,KeyGenerator,KeyPairGenerator,KeyStore,Mac,MessageDigest,SecretKeyFactory,SecureRandom, 和 Signature

SUN
仅与 X.509 证书相关(CertificateFactory,CertPathBuilder,CertPathValidator,CertStore), AlgorithmParameterGenerator,AlgorithmParameters, 和 KeyStore (JKS,PKCS12)服务被启用。
SunEC
仅启用 AlgorithmParametersKeyFactory 服务。
SunJSSE
仅启用与 TLS 相关的服务(KeyManagerFactory,SSLContext,TrustManagerFactory)和 KeyStore (PKCS12)。
SunJCE
仅启用 AlgorithmParameterGeneratorAlgorithmParametersKeyFactorySecretKeyFactory (除 BKDF2 算法外)服务。
SunRsaSign
仅启用 AlgorithmParametersKeyFactory 服务。
XMLDSig
所有服务都已启用。这包括 TransformServiceKeyInfoFactoryXMLSignatureFactory
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2026 Red Hat返回顶部